CN108809957A - 一种防止伪造微信企业号访问请求的方法 - Google Patents
一种防止伪造微信企业号访问请求的方法 Download PDFInfo
- Publication number
- CN108809957A CN108809957A CN201810500409.8A CN201810500409A CN108809957A CN 108809957 A CN108809957 A CN 108809957A CN 201810500409 A CN201810500409 A CN 201810500409A CN 108809957 A CN108809957 A CN 108809957A
- Authority
- CN
- China
- Prior art keywords
- enterprise number
- temporary authorization
- user
- information
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/52—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail for supporting social networking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种防止伪造微信企业号访问请求的方法,包括第一流程链和第二流程链;第一流程链包括以下步骤:前端通过企业号登录服务端,基于OAUTH单点登录获取企业号的用户ID信息;使用用户ID信息生成临时授权指令;保存临时授权指令到前端本地cookies;第二流程链包括以下步骤:前端通过企业号向服务器发出请求数据接口的操作;判断cookies中是否存在对应该请求操作的临时授权指令,若否,则前端无操作权限,若是,则对应的数据接口返回业务数据到前端的企业号;本设计相当于对用户的ID信息进行了加密,攻击者无法获取到用户的ID信息,从而防止伪造微信企业号进行访问请求,对原业务接口入侵性低。
Description
技术领域
本发明涉及网络通信技术领域,特别是一种防止伪造微信企业号访问请求的方法。
背景技术
企业号是微信为企业客户提供的移动应用入口,基于OAUTH的跳转(OAUTH单点登录),可以在企业号推送的消息或企业号应用下的菜单获取用户的信息,例如用户的ID信息等等。企业号内触发跳转到业务产品的H5页面的过程,通过OAUTH机制的确可以确保用户信息的可靠性,但跳转之后的H5页面以及H5页面里面的跳转及相关接口请求,很难确保客户端用户的可靠真实性。一般市场上的处理方法有以下两种,第一、通过屏蔽H5页面的分享操作,确实可以隐藏H5页面的信息,但屏蔽H5页面的分享操作是微信客户端的原生操作,有一定的延迟性,当用户操作得足够快,还是有可能复制出链接,第二、混淆H5前端代码,一定程度可以弱化前端代码的可读性,增加攻击者对前端代码以及数据流的分析,进而增加阅读的成本,但往往攻击者通过数据模拟或抓包工具,还是有可能模拟到用户信息,从而达到攻击的目的。
发明内容
为解决上述技术问题,本发明的目的是提供一种防止伪造微信企业号访问请求的方法。
本发明采用的技术方案是:
一种防止伪造微信企业号访问请求的方法,包括第一流程链和第二流程链;
第一流程链包括以下步骤:
前端通过企业号登录服务端,基于OAUTH单点登录获取企业号的用户ID信息;
使用用户ID信息生成临时授权指令;
保存临时授权指令到前端本地cookies;
第二流程链包括以下步骤:
前端通过企业号向服务器发出请求数据接口的操作;
判断cookies中是否存在对应该请求操作的临时授权指令,
若否,则前端无操作权限,
若是,则对应的数据接口返回业务数据到前端的企业号。
在第一流程链中,使用用户ID信息生成临时授权指令的同时,设置临时授权指令的有效时间;
在第二流程链中,若cookies中存在对应该请求操作的临时授权指令,则还要根据临时授权指令的有效时间判断临时授权指令是否过期,
若否,则对应的数据接口返回业务数据到前端的企业号,
若是,则返回第一流程链,并且需要企业号重新登录服务端以重新生成临时授权指令。
在第二流程链中,前端通过企业号登录跳转进入H5页面,H5页面向服务器请求数据接口。
本发明的有益效果:
本发明访问请求的方法,在第一流程链中,用户通过企业号登陆服务端时,基于OAUTH单点登录获取企业号的用户ID信息,并且将用户ID信息生成临时授权指令,而在以后的访问请求中,为第二流程链,跳转到H5页面,前端通过企业号向服务器发出请求数据接口的操作,对cookies中的临时授权指令进行判断,当存在对应该请求操作的临时授权指令时,对应的数据接口返回业务数据到前端的企业号,此处相当于对用户的ID信息进行了加密,攻击者无法获取到用户的ID信息,从而防止伪造微信企业号进行访问请求,对原业务接口入侵性低。
附图说明
下面结合附图对本发明的具体实施方式做进一步的说明。
图1是本发明访问请求方法的流程示意图。
具体实施方式
如图1所示,本发明包括第一流程链和第二流程链;
第一流程链包括以下步骤:
前端通过企业号登录服务端,基于OAUTH单点登录获取企业号的用户ID信息;
使用用户ID信息生成临时授权指令;
保存临时授权指令到前端本地cookies;
第二流程链包括以下步骤:
前端通过企业号向服务器发出请求数据接口的操作;
判断cookies中是否存在对应该请求操作的临时授权指令,
若否,则前端无操作权限,也相应地会向前端返回错误码202,标记其无权限调用接口。
若是,则对应的数据接口返回业务数据到前端的企业号。
其中,OAUTH单点登陆是为用户资源的授权提供了一个安全的、开放而又简易的标准。任何第三方使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。互联网很多服务如Open API,很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,此处在微信提供的公众号下,用户能够基于OAUTH输入帐号、密码,进行单点登录,微信内部从而获取到用户ID信息,并且返回临时授权指令到服务端,服务端不会直接获取到用户ID信息。
在第二流程链中,前端通过企业号登录跳转进入H5页面,H5页面向服务器请求数据接口,此处会通过AOP(spring切面方法),注解到每一个接口方法,通过AOP注解的好处是对原接口无入侵性。
进一步地,在第一流程链中,使用用户ID信息生成临时授权指令的同时,设置临时授权指令的有效时间,此处的有效时间可由开发人员进行制定;
在第二流程链中,若cookies中存在对应该请求操作的临时授权指令,则还要根据临时授权指令的有效时间判断临时授权指令是否过期,
若否,则对应的数据接口返回业务数据到前端的企业号,
若是,则返回第一流程链,并且需要企业号重新登录服务端以重新生成临时授权指令,返回错误码203。
本发明访问请求的方法,在第一流程链中,用户通过企业号登陆服务端时,基于OAUTH单点登录获取企业号的用户ID信息,并且将用户ID信息生成临时授权指令,而在以后的访问请求中,为第二流程链,跳转到H5页面,前端通过企业号向服务器发出请求数据接口的操作,对cookies中的临时授权指令进行判断,当存在对应该请求操作的临时授权指令时,对应的数据接口返回业务数据到前端的企业号,此处相当于对用户的ID信息进行了加密,攻击者无法获取到用户的ID信息,从而防止伪造微信企业号进行访问请求,对原业务接口入侵性低。
以上所述仅为本发明的优先实施方式,本发明并不限定于上述实施方式,只要以基本相同手段实现本发明目的的技术方案都属于本发明的保护范围之内。
Claims (3)
1.一种防止伪造微信企业号访问请求的方法,其特征在于,包括第一流程链和第二流程链;
第一流程链包括以下步骤:
前端通过企业号登录服务端,基于OAUTH单点登录获取企业号的用户ID信息;
使用用户ID信息生成临时授权指令;
保存临时授权指令到前端本地cookies;
第二流程链包括以下步骤:
前端通过企业号向服务器发出请求数据接口的操作;
判断cookies中是否存在对应该请求操作的临时授权指令,
若否,则前端无操作权限,
若是,则对应的数据接口返回业务数据到前端的企业号。
2.根据权利要求1所述的一种防止伪造微信企业号访问请求的方法,其特征在于:在第一流程链中,使用用户ID信息生成临时授权指令的同时,设置临时授权指令的有效时间;
在第二流程链中,若cookies中存在对应该请求操作的临时授权指令,则还要根据临时授权指令的有效时间判断临时授权指令是否过期,
若否,则对应的数据接口返回业务数据到前端的企业号,
若是,则返回第一流程链,并且需要企业号重新登录服务端以重新生成临时授权指令。
3.根据权利要求1所述的一种防止伪造微信企业号访问请求的方法,其特征在于:在第二流程链中,前端通过企业号登录跳转进入H5页面,H5页面向服务器请求数据接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810500409.8A CN108809957A (zh) | 2018-05-23 | 2018-05-23 | 一种防止伪造微信企业号访问请求的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810500409.8A CN108809957A (zh) | 2018-05-23 | 2018-05-23 | 一种防止伪造微信企业号访问请求的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108809957A true CN108809957A (zh) | 2018-11-13 |
Family
ID=64092723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810500409.8A Pending CN108809957A (zh) | 2018-05-23 | 2018-05-23 | 一种防止伪造微信企业号访问请求的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108809957A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、***及其应用服务器 |
| CN105072108A (zh) * | 2015-08-04 | 2015-11-18 | 小米科技有限责任公司 | 用户信息的传输方法、装置及*** |
| CN105812350A (zh) * | 2016-02-03 | 2016-07-27 | 北京中搜云商网络技术有限公司 | 一种跨平台单点登录*** |
| US20160277390A1 (en) * | 2013-12-27 | 2016-09-22 | Sap Se | Multi-domain applications with authorization and authentication in cloud environment |
| US20170093989A1 (en) * | 2015-09-25 | 2017-03-30 | International Business Machines Corporation | Data sharing |
| CN106713271A (zh) * | 2016-11-25 | 2017-05-24 | 国云科技股份有限公司 | 一种基于单点登录的Web***登录约束方法 |
| CN107483489A (zh) * | 2017-09-18 | 2017-12-15 | 上海上实龙创智慧能源科技股份有限公司 | 一种基于微信企业号的智慧办公***认证方法 |
| CN107819570A (zh) * | 2016-09-10 | 2018-03-20 | 长沙有干货网络技术有限公司 | 一种基于可变Cookie的跨域单点登录方法 |
-
2018
- 2018-05-23 CN CN201810500409.8A patent/CN108809957A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812403A (zh) * | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
| CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、***及其应用服务器 |
| US20160277390A1 (en) * | 2013-12-27 | 2016-09-22 | Sap Se | Multi-domain applications with authorization and authentication in cloud environment |
| CN105072108A (zh) * | 2015-08-04 | 2015-11-18 | 小米科技有限责任公司 | 用户信息的传输方法、装置及*** |
| US20170093989A1 (en) * | 2015-09-25 | 2017-03-30 | International Business Machines Corporation | Data sharing |
| CN105812350A (zh) * | 2016-02-03 | 2016-07-27 | 北京中搜云商网络技术有限公司 | 一种跨平台单点登录*** |
| CN107819570A (zh) * | 2016-09-10 | 2018-03-20 | 长沙有干货网络技术有限公司 | 一种基于可变Cookie的跨域单点登录方法 |
| CN106713271A (zh) * | 2016-11-25 | 2017-05-24 | 国云科技股份有限公司 | 一种基于单点登录的Web***登录约束方法 |
| CN107483489A (zh) * | 2017-09-18 | 2017-12-15 | 上海上实龙创智慧能源科技股份有限公司 | 一种基于微信企业号的智慧办公***认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| LEAPMIE: "企业微信号开发(二)", 《HTTPS://WWW.CNBLOGS.COM/LEAP/P/5913027.HTML》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106131079B (zh) | 一种认证方法、***及代理服务器 | |
| US20210058395A1 (en) | Protection against phishing of two-factor authentication credentials | |
| Gupta et al. | Cross-Site Scripting (XSS) attacks and defense mechanisms: classification and state-of-the-art | |
| De Ryck et al. | Automatic and precise client-side protection against CSRF attacks | |
| US11757944B2 (en) | Network intermediary with network request-response mechanism | |
| KR100884714B1 (ko) | 어플리케이션 보호 방법, 어플리케이션이 허가된 동작 범위를 벗어나 실행되는 것을 방지하는 방법, 어플리케이션 보안층 구현 시스템, 및 컴퓨터 판독가능 기록 매체 | |
| CN103856446B (zh) | 一种登录方法、装置及开放平台*** | |
| US10447726B2 (en) | Mitigating attacks on server computers by enforcing platform policies on client computers | |
| CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| US20140040987A1 (en) | Network Application Security Utilizing Network-Provided Identities | |
| Buchanan et al. | Analysis of the adoption of security headers in HTTP | |
| CN103179134A (zh) | 基于Cookie的单点登录方法、***及其应用服务器 | |
| CN107426174A (zh) | 一种可信执行环境的访问控制***及方法 | |
| KR20060047252A (ko) | 이동 장치를 통한 계정 생성 방법 및 시스템 | |
| KR20160092021A (ko) | 제 3 자 애플리케이션 활동 데이터 수집을 위한 시스템 및 방법 | |
| CN107835228A (zh) | 一种基于动态广义路由的指令处理方法及装置 | |
| CN103051598B (zh) | 安全接入互联网业务的方法、用户设备和分组接入网关 | |
| US20080021904A1 (en) | Authenticating a site while protecting against security holes by handling common web server configurations | |
| JP6249964B2 (ja) | 通信ネットワークにおけるリアルタイム対話 | |
| EP2887608B1 (en) | A computer implemented method and system for an anonymous communication and computer program thereof | |
| Ahmad et al. | Overview of phishing landscape and homographs in Arabic domain names | |
| Keromytis | Voice over IP Security: A Comprehensive Survey of Vulnerabilities and Academic Research | |
| CN108809957A (zh) | 一种防止伪造微信企业号访问请求的方法 | |
| Thompson et al. | The software vulnerability guide | |
| US20160378982A1 (en) | Local environment protection method and protection system of terminal responding to malicious code in link information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181113 |